Recupero dati

Recupero dati: tecniche e finalità investigative

Recupero dati: in cosa consiste

Il recupero dati è, nell’ambito dell’informatica forense, una procedura finalizzata a rendere nuovamente disponibili quelle informazioni cancellate, nascoste o danneggiate all’interno di supporti di memorizzazione digitale, come: smartphone, tablet, hard disk, ecc.

Tipi di dati recuperabili

Esiste una vasta gamma di informazioni recuperabili, tra cui:

  • messaggi di testo e chat, quindi SMS, messaggi inviati tramite applicazioni di messaggistica come WhatsApp, Telegram, ecc.;
  • registri delle chiamate effettuate, ricevute e perse, con annessi dettagli circa durata e timestamp;
  • e-mail inviate e ricevute, inclusi allegati e metadata associati;
  • contatti in rubrica;
  • immagini e video che non siano stati sovrascritti;
  • metadati delle applicazioni, ossia le informazioni generate e memorizzate dalle app installate (come registri di attività e cronologie di utilizzo);
  • dati di localizzazione GPS, quali possono rivelare i movimenti e la posizione geografica del dispositivo;
  • cronologie di navigazione, cioè siti web visitati, segnalibri salvati e cache del browser.

Recupero, conservazione e analisi dei dati: l’iter

Grazie alle tecniche avanzate d’investigazione informatica è possibile estrarre dati anche dai dispositivi più protetti o danneggiati. La procedura prevede:

  • imaging del dispositivo, cioè la creazione di una copia esatta (immagine) del contenuto del dispositivo, che consente agli investigatori di lavorare su una replica senza alterare l’originale;
  • analisi di memoria, specificatamente della RAM (Random Access Memory), ovvero la memoria ad accesso casuale in cui vengono immagazzinate le informazioni di cui un programma ha bisogno durante l’esecuzione (memoria volatile;
  • scansione del file system del dispositivo, alla ricerca di tracce di dati cancellati che non siano stati ancora sovrascritti;
  • decodifica e decrittazione dei dati criptati, allo scopo di renderli leggibili e utilizzabili;
  • estrazione fisica e logica, la prima comporta la copia completa della memoria del dispositivo, mentre la seconda si concentra sulla copia dei file di sistema e delle applicazioni accessibili.

    Recupero dati: gli strumenti

    Gli investigatori utilizzano una varietà di software per il recupero e l’analisi dei dati. Tra i più popolari e affidabili si annoverano:

    • Cellebrite, apprezzata per la sua capacità di gestire molteplici tipi di dispositivi e formati di file;
    • EnCase, ampiamente utilizzato per la sua robustezza e la capacità di gestire grandi volumi di dati;
    • Oxygen Forensic Suite, una soluzione completa per l’analisi forense che offre funzionalità per ogni fase della procedura, incluse la decodifica e la decrittazione;
    • Magnet AXIOM, consente di estrarre dati da una varietà di fonti, compresi i cloud.

    Recupero dati: il valore probatorio

    L’informatica forense – di cui il recupero dei dati è la fase chiave – si occupa di preservare, analizzare e documentare le prove digitali assicurandone l’integrità, garantendo cioè che possano essere ammesse in tribunale. È per questo che gli informatici forensi si attengono a procedure legali rigorose, quali includono:

    • documentazione della catena di custodia, per escludere alterazioni o manomissioni;
    • documentazione delle tecniche e degli strumenti utilizzati, nonché dei risultati ottenuti;
    • attestazione della conformità alle normative di privacy e protezione dei dati.